Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configure Secure Edge Connector con Juniper Secure Edge (manual)

En este tema, se describen todos los pasos del flujo de trabajo para aprovisionar manualmente Secure Edge Connector con Juniper® Secure Edge.

La nube de Juniper Mist se integra con Juniper Secure Edge (JSE) para inspeccionar el tráfico de los dispositivos de borde de WAN. La configuración del conector de Secure Edge en Mist permite que los enrutadores Session Smart y los firewalls de la serie SRX desplegados como un dispositivo de borde de WAN envíen una parte del tráfico a JSE para su inspección.

Las capacidades de borde seguro son administradas por Juniper Security Director Cloud, la experiencia de administración simple y sin problemas de Juniper que se ofrece en una única interfaz de usuario (UI).

Para obtener más información, consulte Juniper Secure Edge.

Descripción general de la configuración

En esta tarea, se envía el tráfico enlazado a Internet desde el lado de la LAN de un dispositivo radial o concentrador a Secure Edge para su inspección antes de que el tráfico llegue a Internet.

Los temas de la siguiente tabla presentan las tareas que debe completar para integrar la nube de Mist con JSE para inspeccionar el tráfico de dispositivos de borde de WAN mediante el conector de Secure Edge. El orden en que se enumeran las tareas representa la secuencia de pasos que debe seguir para completar el flujo de trabajo.

Tabla 1: Flujo de trabajo de configuración del conector Secure Edge
Paso Tarea Descripción
1 Acceda a Juniper Security Director Cloud y verifique las suscripciones activas Acceda a Juniper Security Director Cloud, vaya a la cuenta de su organización y verifique las suscripciones de Secure Edge. La suscripción le da derecho a configurar los servicios Secure Edge para sus implementaciones.
2 Configurar una ubicación de servicio en la nube de Juniper Security Director

Cree ubicaciones de servicio. Aquí es donde las puertas de enlace VPN crean conexiones seguras entre diferentes redes.
3 Genere certificados de dispositivos en la nube de Juniper Security Director Genere certificados digitales para que Juniper Secure Edge establezca comunicaciones seguras entre Secure Edge y los puntos de conexión del usuario.
4 Cree un perfil IPsec en la nube de Juniper Security Director Cree perfiles IPsec para establecer túneles IPsec para la comunicación entre los dispositivos de borde WAN en su red de nube de Mist con la instancia de Secure Edge.
5 Crear un sitio en la nube de Juniper Security Director Cree un sitio que aloje un dispositivo de borde de WAN. El tráfico desde el dispositivo se reenvía a la instancia de Secure Edge a través de un túnel seguro para su inspección.
6 Implemente una política de borde seguro en la nube de Juniper Security Director Configure políticas que definan las reglas y acciones de seguridad para el tráfico que se origina o tiene como destino el sitio.
7 Obtenga parámetros de configuración de túnel IPsec para aplicar en la nube de Juniper Security Director Anote los detalles, como la ubicación del servicio, la dirección IP o el nombre de host, el nombre del perfil IPsec y la clave previamente compartida. Necesita estos detalles para configurar túneles IPsec desde el lado de Juniper Mist.
8 Cree conectores de borde seguros en el portal de la nube de Juniper Mist Cree conectores de Secure Edge en el portal de Mist. Esta tarea completa la configuración del túnel en el lado de la nube de Mist, lo que establece un túnel IPsec entre los dispositivos de borde de la WAN administrados por Mist y la instancia de Secure Edge.
9 Modificar una política de aplicación Cree una nueva política de aplicación o edite una para dirigir el tráfico desde el dispositivo de borde de WAN a Internet a través de la nube de Juniper Security Director (en lugar de pasar por un centro para el acceso centralizado).
10 Verificar el túnel IPsec de Mist a Juniper Secure Edge (manual) Compruebe los túneles IPsec establecidos para confirmar que la configuración funciona.
  • Información de la WAN en el portal de Mist
  • Panel de control de Security Director Cloud
  • Flujo de tráfico de túnel en la CLI del dispositivo de borde de la WAN

Antes de empezar

Acceda a Juniper Security Director Cloud y verifique las suscripciones activas

Un inquilino en Juniper Secure Edge es una cuenta de organización que se crea para acceder al portal de Juniper Security Director Cloud y administrar los servicios de Secure Edge. Un inquilino está asociado a una dirección de correo electrónico y un plan de suscripción únicos. Un inquilino puede tener varias ubicaciones de servicio.

Un inquilino puede tener una o más ubicaciones de servicio. Estos son los puntos de conexión para los usuarios finales. Para crear un inquilino, debe tener una cuenta en Juniper Security Director Cloud. Consulte Creación del inquilino de Secure Edge para obtener más información.

Después de crear el inquilino de Secure Edge en el portal de SD-Cloud, acceda al portal y compruebe las suscripciones.

Para acceder a Juniper Security Director Cloud y comprobar las suscripciones activas:

  1. Abra la URL de la nube de Juniper Security Director. Ingrese su dirección de correo electrónico y contraseña para iniciar sesión en el portal.
  2. Seleccione el inquilino necesario en la esquina superior derecha del portal para continuar.
  3. Seleccione Suscripciones > administrador para acceder a la página de suscripciones Security Director Cloud.
  4. Desplácese hasta la sección Suscripciones de Secure Edge para comprobar si tiene una suscripción activa.
    Nota: No es necesario que haga clic en la pestaña Suscripciones de administración de SRX, incluso si utiliza un firewall de la serie SRX de Juniper®. En esta tarea, no está utilizando Security Director Cloud para administrar dispositivos de borde de WAN.

    Para obtener más información, consulte Acerca de la página Suscripciones.

    Suponiendo que tenga suscripciones activas, continúe con los pasos siguientes.

Configurar ubicaciones de servicio

Después de confirmar que su licencia para Juniper Security Director Cloud está activa, configure una ubicación de servicio. Esta tarea es el primer paso en la configuración de un conector Secure Edge para dispositivos WAN Edge.

Una ubicación de servicio en la nube de Juniper Security Director también se conoce como POP (punto de presencia) y representa una instancia de Juniper® Secure Edge en una ubicación de nube. La ubicación del servicio es el punto de conexión (acceso) tanto para los usuarios locales como para los que están en roaming.

La dirección IP pública que configure en la ubicación de servicio (única por inquilino y ubicación de servicio) se utiliza para:

  • Configure un túnel IPsec entre el dispositivo de sucursal y la nube de Juniper Security Director.

  • Distribuya el tráfico de forma centralizada cuando el destino esté en Internet.

Para configurar una ubicación de servicio en la nube de Juniper Security Director:

  1. En el menú Juniper Security Director Cloud, seleccione Secure Edge >Ubicaciones de servicio.

    Aparecerá la página Ubicaciones de servicio.

  2. Haga clic en el icono Agregar (+) para crear una nueva ubicación de servicio.
    Tabla 2: Detalles de ubicación del servicio
    Campo Valor
    Nombre Escriba un nombre descriptivo.
    Ubicación 1 Seleccione la ubicación (POP) para Secure Edge. La región geográfica a la que pertenece esta ubicación se seleccionará automáticamente como la región a la que pertenece el POP.
    Ubicación 2 Seleccione la segunda ubicación (POP) para Secure Edge. La región geográfica a la que pertenece esta ubicación se selecciona automáticamente.
    Suscripciones Haga clic en + para agregar nuevas suscripciones o seleccione una de sus suscripciones existentes.
    Total de usuarios Ingrese la cantidad total posible de usuarios a los que esta ubicación de servicio puede necesitar servir. Esto se establece automáticamente en función de la suscripción que elija.
  3. Haga clic en Aceptar.

    Security Director Cloud crea una ubicación de servicio y la enumera en la página Ubicaciones de servicio .

    El estado de la ubicación del servicio se muestra como En curso hasta que la instancia de Secure Edge se haya implementado por completo. Esto puede tardar unos minutos en completarse.

    Cuando se crea una ubicación de servicio, esta es única por cliente. Las instancias no se comparten con otros inquilinos.

Genere certificados de dispositivos en la nube de Juniper Security Director

Ahora que configuró ubicaciones de servicio en la nube de Juniper Security Director, opcionalmente puede generar certificados de dispositivo para el descifrado SSL.

Si elige usar un certificado de capa de seguridad/capa de sockets seguros (TLS/SSL) de capa de transporte para establecer comunicaciones seguras entre los clientes y Juniper Secure Edge. Todos los navegadores cliente de su red deben confiar en los certificados firmados por los dispositivos de borde de WAN para usar un proxy SSL.

En la nube de Juniper Security Director, dispone de las siguientes opciones para generar certificados:

  • Cree una nueva solicitud de firma de certificado (CSR) y su propia autoridad de certificación (AC) puede usar la CSR para generar un nuevo certificado.

  • Seleccione la opción para que Juniper Networks cree un certificado.

Nota:

En este tema se describe cómo generar un certificado TLS/SSL. La forma en que importa y usa el certificado depende de los requisitos de administración de clientes de su empresa y está fuera del alcance de este tema.

Para generar certificados de dispositivo en la nube de Juniper Security Director:

  1. Seleccione Secure Edge > Administración de certificados.

    Aparece la página Administración de certificados.

    En la lista desplegable Generar , puede generar una nueva solicitud de firma de certificado (CSR) o un certificado emitido por Juniper.

  2. Seleccione la opción correspondiente:
    1. Si su empresa tiene su propia AC y desea generar una CSR, haga clic en Solicitud de firma de certificado.

      Después de que Juniper Secure Edge genere la CSR, descárguela y envíela a su AC para generar un nuevo certificado. Una vez generado, haga clic en Cargar para cargar el certificado en la página Administración de certificados.

    2. Si su empresa no tiene su propia AC, haga clic en Certificado emitido por Juniper y, luego, haga clic en Generar. Juniper Networks generará el certificado y lo mantendrá en el sistema.
      En esta tarea, seleccione Certificado emitido por Juniper y continúe con el paso siguiente.
  3. Introduzca los detalles del certificado. En el campo Nombre común, use el nombre de dominio completo (FQDN) del certificado.

    Se abre la página Administración de certificados con un mensaje que indica que el certificado se creó correctamente.

  4. Seleccione el certificado de la lista y, a continuación, haga clic en Descargar para descargar el certificado generado.

    En el ejemplo siguiente se muestra el certificado descargado:

    Después de descargar el certificado en el sistema, agréguelo a los navegadores cliente.

Cree un perfil IPsec en la nube de Juniper Security Director

Después de generar los certificados para establecer comunicaciones seguras entre Juniper Secure Edge y sus dispositivos de WAN Edge, estará listo para crear perfiles de IPsec.

Los perfiles de IPsec definen los parámetros con los que se establece un túnel IPsec cuando los dispositivos de WAN Edge en Mist comienzan a comunicarse con su instancia de Secure Edge.

Para crear un perfil de IPsec en Juniper Security Director Cloud:

  1. En el portal de Juniper Security Director Cloud, seleccione Secure Edge > Perfiles IPsec .
  2. Haga clic en el icono Agregar (+) para crear un perfil IPsec.
    Aparecerá la página Crear perfil IPsec.
  3. Para el nombre del perfil, use default-ipsec. Conserve todos los valores predeterminados para Intercambio de claves por red (IKE) e IPsec; actualmente, no se pueden configurar en el portal de Mist.

    Usará este perfil IPsec para crear un sitio en la siguiente tarea. En la página Crear sitio , si selecciona IPsec como tipo de túnel en la pestaña Reenvío de tráfico, adjuntará el perfil de IPsec.

Cree un sitio en la nube de Juniper Secure Edge

Ahora ha creado perfiles IPsec, los cuales definen los parámetros para el túnel IPsec entre los dispositivos WAN Edge en su nube de Mist y su instancia de Secure Edge.

En este punto, debe crear un sitio en la nube de Juniper Security Director. Un sitio representa una ubicación que aloja un dispositivo de borde WAN. El tráfico desde el dispositivo de borde de la WAN se reenvía a la instancia de Secure Edge a través de un túnel seguro y, luego, los servicios de la nube de Secure Edge lo inspeccionan y aplican.

En esta configuración, puede optar por reenviar parte o la totalidad del tráfico dirigido a Internet desde los sitios del cliente a la nube Juniper Secure Edge a través de túneles de encapsulación de enrutamiento genérico (GRE) o IPsec desde los dispositivos WAN Edge en el sitio.

Nota:

Las direcciones de sucursal superpuestas no son compatibles con el mismo POP dentro de Secure Edge cuando se utiliza un firewall con estado en ubicaciones de sucursales. Cualquier tráfico de ruta inversa a estas IP superpuestas se enrutará mediante una multirruta de igual costo (ECMP) en todas las conexiones. El tráfico se enruta mediante ECMP en lugar del enrutamiento por sesión a la interfaz desde la que se originó el tráfico. Considere la posibilidad de utilizar la ruta inversa del tráfico a través de ECMP cuando configure las redes protegidas para un sitio.

Para crear un sitio en la nube de Juniper Security Director:

  1. En el portal de Juniper Security Director Cloud, seleccione Secure Edge >Service Sites.
  2. Haga clic en el icono más (+) para crear un sitio.
  3. Ingrese la configuración:
    Tabla 3: Crear sitio - Detalles de ubicaciones de servicio
    Campo Valor
    Ubicación del servicio A Seleccione la ubicación principal a la que desea que se conecten los sitios locales. Esta es una de las ubicaciones que configuró anteriormente en Configurar ubicaciones de servicio.
    Ubicación del servicio B Seleccione la ubicación secundaria a la que desea que se conecten los sitios locales. Esta es una de las ubicaciones que configuró anteriormente.
    Número de usuarios Ingrese la cantidad de usuarios que pueden usar la red en el sitio.
    Tabla 4: Crear sitio - Detalles del sitio
    Campo Valor
    Nombre Escriba un nombre de sitio único.
    Descripción Ingrese una descripción única del sitio.
    País Seleccione el país correspondiente de la lista donde se encuentra el sitio.
    Código postal (Opcional) Ingrese el código postal donde se encuentra la sucursal del cliente.
    Dirección del sitio (opcional) Ingrese la ubicación (dirección postal) del sitio.
    Redes protegidas Haga clic en el icono Agregar (+) para agregar el intervalo de direcciones IP privadas de la interfaz que se utilizará para el flujo de tráfico a través del túnel (ejemplo: 10.99.99.0/24, una dirección IP de red LAN).

  4. Haga clic en Siguiente.
  5. En la página Reenvío de tráfico, ingrese la configuración. Luego, haga clic en la marca de verificación.
    Tabla 5: Detalles de interfaz para la política de reenvío de tráfico
    Campo Valor
    Nombre del CPE Ingrese un nombre descriptivo, como el nombre de su dispositivo CPE.
    Nombre de interfaz Seleccione el nombre de la interfaz.
    Tipo de túnel IPsec
    Tipo de dirección IP Seleccione Dirección IP dinámica o Dirección IP estática.
    IKE ID site1@example.com (se asemeja a una dirección de correo electrónico y debe tener un valor único para cada sitio).
    Interfaz externa Escriba el nombre de la interfaz externa. Una interfaz externa conecta su dispositivo a Internet o a la red. ge-0/0/0.0 es el valor predeterminado.

  6. Seleccione el nombre de perfil de IPsec e ingrese la clave precompartida para autenticar al usuario de acceso remoto. Luego, haga clic en Aceptar.
    Tabla 6: Detalles adicionales para la política de reenvío de tráfico
    Campo Valor
    Nombre de perfil IPsec ipsec predeterminado

    Si no tiene un perfil IPsec preconfigurado, haga clic en Crear nuevo para crear un perfil IPsec.
    Clave precompartida

    Defina un PSK único para cada sitio. Ejemplo: Juniper!1
  7. Haga clic en Siguiente.
  8. En la página Configuración de CPE, seleccione el CPE que creó en el paso anterior y, a continuación, haga clic en el lápiz de la parte superior derecha. Recuerde que el dispositivo CPE no es de Juniper.
    Tabla 7: Configuración de CPE para la política de reenvío de tráfico
    Campo Valor
    Nombre del CPE El valor predeterminado se basa en lo que configuró anteriormente.
    Interfaces El valor predeterminado se basa en lo que configuró anteriormente.
    Nombre de perfil IPsec El valor predeterminado se basa en lo que configuró anteriormente.
    Clave precompartida

    El valor predeterminado se basa en lo que configuró anteriormente.
    Ubicación de servicio principal Seleccione la ubicación de servicio de la lista que procesa principalmente el tráfico enviado desde el dispositivo CPE del sitio a Juniper Secure Edge.
    Semilla de túnel Introduzca un número de semilla de túnel entre 1 y 1000. Este número determina los identificadores de interfaz de túnel de la CLI de Junos OS. El valor predeterminado es 1.
    Zona de seguridad de túnel Introduzca el tipo de zona de túnel de confianza o no confianza. La confianza es la opción predeterminada.
    Zona de interfaz externa Escriba el tipo de zona para la interfaz externa de confianza o no confianza. La falta de confianza es la opción predeterminada.
    Instancia de enrutamiento de túnel Introduzca la instancia de enrutamiento que contiene la dirección de destino del túnel. Si su configuración no tiene una instancia de enrutamiento, deje este campo en blanco.

  9. Haz clic en la marca de verificación y, a continuación, haz clic en Siguiente.
  10. En la página Resumen, revise la configuración.
  11. Haga clic en Atrás para editar los campos. De lo contrario, haga clic en Finalizar para crear el nuevo sitio.
  12. Agregue dos sitios más usando el mismo procedimiento. En las siguientes tablas, se proporcionan detalles de ejemplo para guiarle.
    1. Cree un segundo sitio.
      Tabla 8: Creación de sitios para el segundo sitio (muestra)
      Campos Valor
      Ubicación de servicio A JSEC-Oregón
      Ubicación de servicio B JSEC-Oregón
      Número de usuarios 10
      Nombre spoke2-site
      País Alemania
      Redes protegidas 10.88.88.0/24 (red LAN)
      Tabla 9: Reenvío de tráfico para el segundo sitio (ejemplo)
      Campo Valor
      Tipo de túnel IPsec
      Tipo de dirección IP Dinámico
      IKE ID site2@example.com (se asemeja a una dirección de correo electrónico y debe ser un valor único para cada sitio).
    2. Crea un tercer sitio.
      Tabla 10: Creación de sitios para un tercer sitio (muestra)
      Campos Valor
      Ubicación de servicio A JSEC-Oregón
      Ubicación de servicio B JSEC-Ohio
      Número de usuarios 10
      Nombre spoke3-site
      País Alemania
      Redes protegidas 10.77.77.0/24 (red LAN)
      Tabla 11: Reenvío de tráfico para un tercer sitio (ejemplo)
      Campo Valor
      Tipo de túnel IPsec
      Tipo de dirección IP Dirección IP dinámica
      IKE ID site3@example.com (se asemeja a una dirección de correo electrónico y debe tener un valor único para cada sitio).
  13. Revise la página Resumen que muestra la lista de sitios que ha creado. Modifique las entradas incorrectas.

Implemente una política de borde seguro en la nube de Juniper Security Director

Ahora que creó sitios en la nube de Juniper Security Director, es hora de implementar una o más políticas de Juniper® Secure Edge.

Las políticas de Secure Edge especifican cómo la red enruta el tráfico. De forma predeterminada, cuando crea un nuevo inquilino, Security Director Cloud crea un conjunto de reglas de políticas de Secure Edge con reglas predefinidas.

Nota:

Incluso si no cambia el conjunto de reglas predeterminado, debe utilizar la opción Implementar para cargar las reglas en sus ubicaciones de servicio.

Para implementar una política de Secure Edge en la nube de Juniper Security Director:

  1. En el portal de Juniper Security Director Cloud, haga clic en Secure Edge > Secure Edge Policy.

    Aparece la página Política de Secure Edge que contiene reglas predeterminadas. Modifique el conjunto de políticas de seguridad predeterminadas para mejorar la depuración. El conjunto de reglas predeterminado no permite pings ICMP a Internet, lo que le impide hacer ping a través de la nube.

  2. Haga clic en el icono Agregar (+) para crear una regla, o seleccione la regla existente y haga clic en el icono de lápiz para editarla.
  3. Asigne a la nueva regla el nombre de regla Allow-ICMP.
  4. Haga clic en Agregar (+) para agregar orígenes.
    En Orígenes, utilice los siguientes valores predeterminados:

    • Direcciones: cualquier

    • Grupos de usuarios: cualquiera

  5. Haga clic en Agregar (+) para agregar destinos.
    En Destinos, en Direcciones, utilice el valor predeterminado Cualquiera.
  6. En Aplicaciones/servicios, configure los siguientes valores:

    • Aplicaciones: cualquier

    • Servicios: específicos (mediante búsqueda)

    • Servicio específico - icmp-all

    Con la flecha derecha (>), mueva specific service=icmp-all al panel derecho para activarlo y, a continuación, haga clic en Aceptar.

  7. Configure una acción de Permitir y conserve los valores predeterminados para los campos restantes.
  8. Haz clic en la marca de verificación.

    El sistema coloca la nueva regla en la parte inferior de la lista de reglas y trata esta regla como la última regla del conjunto de reglas. Si la regla se coloca después de una regla global (que deniega todo el tráfico), nunca se aplicará, ya que la regla global detiene todo el tráfico posterior.

    Si es necesario, puede cambiar la posición de la regla seleccionándola. A continuación, utilice las opciones Más > Mover > Mover arriba para mover la regla seleccionada a la parte superior del conjunto de reglas. Al mover la regla a la parte superior del conjunto de reglas, se garantiza que el sistema aplique esta regla primero.

    Nota:

    Cuando modifique un conjunto de reglas, asegúrese de usar el botón Implementar para completar la tarea. De lo contrario, las ubicaciones de servicio seguirán usando los conjuntos de reglas obsoletos.

  9. Haga clic en Implementar.
  10. En la ventana Implementar que aparece, marque la opción Ejecutar ahora y, a continuación, haga clic en Aceptar.

    Las ubicaciones de servicio reciben el conjunto de reglas actualizado al cabo de unos minutos.

  11. Seleccione Trabajos > administrador para ver el estado y el progreso del trabajo implementado.

Recopile parámetros de configuración de túnel IPsec para aplicarlos en la nube de Juniper Security Director

En las tareas anteriores, completó varias acciones para configurar túneles IPsec en Juniper Secure Edge y desplegó la política de Secure Edge en la nube de Juniper Security Director. El último paso de Security Director Cloud es recopilar los datos de configuración de cada sitio. En este paso, anotará los detalles de los sitios que creó.

Nota:

Una opción de inserción de configuración automatizada para sincronizar entre la nube de Juniper Security Director y la nube de Mist no está disponible.

Para obtener los parámetros de configuración del túnel IPsec para aplicarlos en la nube de Juniper Security Director:

  1. En Juniper Security Director portal de Cloud, seleccione Secure Edge > Service Sites. Se abre la página Sitio, que muestra los detalles del sitio implementado.
  2. Expanda cada sitio radial y, a continuación, haga clic en Ver en Configuraciones de túnel. Compruebe la pestaña Resumen de configuración para obtener información.

    Anote los siguientes detalles, que utilizará en el siguiente paso para crear conectores Secure Edge en el portal de Juniper Mist:

    • clave precompartida

    • Local ID

    • Dirección IP e ID remoto de cada túnel de ubicación de servicio

    En los siguientes ejemplos, se muestra la información extraída de los tres sitios que creó en Crear un sitio en la nube de Juniper Secure Edge:

    La siguiente muestra es información extraída para el sitio2:

    La siguiente muestra es información extraída para el sitio3:

    Recuerde que necesita estos detalles del sitio cuando configure túneles en el portal de la nube de Mist.

Cree conectores de borde seguros en el portal de Juniper Mist

Está a mitad de camino de su objetivo final de configurar un conector Secure Edge para sus dispositivos WAN Edge implementados en Juniper Mist™.

Los conectores Secure Edge se crean en el portal de Mist. Esta tarea completa la configuración del túnel en el lado de la nube de Mist para establecer un túnel IPsec entre los dispositivos de borde de la WAN administrados por Mist y Security Director Cloud. Antes de crear los conectores, asegúrese de que el sitio tenga un dispositivo WAN Edge implementado.

Para crear conectores Secure Edge en el portal de Mist:

  1. En el menú de la izquierda, haga clic en WAN Aristas > WAN Aristas.

    La página de instancias de instancias de WAN Edge muestra detalles del sitio.

  2. Haga clic en el dispositivo y desplácese hacia abajo hasta Conectores Secure Edge.
  3. En el panel Secure Edge Connectors, haga clic en Agregar proveedor.
  4. Ingrese los detalles del conector de Secure Edge. Recuerde, estos son los mismos detalles que recopiló en Recopilar parámetros de configuración de túnel IPsec para aplicar en la nube de Juniper Security Director
    Tabla 12: Detalles del conector Secure Edge (ejemplo)
    Campo Valor
    Nombre De Site1 a SDScloud
    Proveedor Juniper Secure Edge
    Local ID site1@example.com
    clave precompartida Juniper!1 (ejemplo)
    Primaria
    IP o nombre de host Esta es la dirección IP de la configuración del túnel de Juniper Security Director Cloud.
    IP de sondeo No es necesario introducir los valores IP del sondeo. Los túneles IPsec no necesitan supervisión adicional como la que necesita GRE.
    ID remoto Este es el ID remoto de la configuración de túnel de Juniper Security Director Cloud (ejemplo: <UUID>.jsec-gen.juniper.net).
    Interfaz WAN

    • WAN0=INET

    • WAN1=MPLS
    Secundaria
    IP o nombre de host <Dirección IP> de (desde Juniper Security Director Cloud túnel configuración)
    IP de sondeo No es necesario introducir los valores IP del sondeo. Los túneles IPsec no necesitan supervisión adicional como la que necesita GRE.
    ID remoto <UUID>.jsec-gen.juniper.net (desde la configuración de Juniper Security Director Cloud túnel)
    Interfaz WAN

    • WAN0=INET

    • WAN1=MPLS
    Modo En espera activa

    Nota:

    No habilite las IP de sonda ICMP para la configuración de Secure Edge basada en un enrutador con Session Smart. Los sondeos ICMP se originarán en una dirección IP no enrutable hacia Secure Edge y se eliminarán debido a la política. Además, si las direcciones de origen se superponen en todas las ramas, no se admite el enrutamiento a más de una sucursal con una dirección IP de sondeo.
  5. Verifique que el portal de Mist muestre el conector de Secure Edge que acaba de configurar.

Configure la dirección del tráfico

Configure reglas de dirección de tráfico para definir las rutas que el tráfico de aplicaciones puede tomar para llegar a su destino. Aplicará esta regla de dirección de tráfico a la política de aplicación que cree en el paso siguiente. Consulte Reglas de dirección de tráfico.

  1. Agregue una nueva ruta de dirección de tráfico en la plantilla de WAN Edge o en el dispositivo de WAN Edge.
    Tabla 13: Configuración de ruta de dirección de tráfico (ejemplo)
    Campos Valor
    Nombre Nube
    Estrategia Ordenado
    Rutas Agregar rutas
    Tipo Conector de Secure Edge
    Proveedor Juniper Secure Edge (solo IPsec)
    Nombre De Site1 a SDScloud
  2. Haga clic en la marca de verificación azul en la barra de título Agregar rutas y, a continuación, haga clic en Agregar para guardar la dirección de tráfico.

Modificar una política de aplicación

El siguiente paso es modificar las políticas de aplicación en el dispositivo de sucursal. Por ejemplo, puede permitir el tráfico desde un dispositivo radial a un dispositivo concentrador. También puede permitir el tráfico de radio a radio en el túnel VPN. Luego, puede enviar tráfico desde los radios a Internet a través de Juniper Security Director Cloud, en lugar de enviar tráfico desde los radios a un centro para la interconexión central.

  1. Agregue o edite una política de aplicación en la plantilla de WAN Edge o en la página de dispositivo de WAN Edge. Consulte Políticas de aplicación.
  2. Agregue la política de dirección de tráfico que acaba de crear. En este ejemplo, la dirección de tráfico se cambió a Nube en la última regla.
    Nota:

    Si va a crear políticas de aplicación desde la página del dispositivo de WAN Edge, es posible que tenga que seleccionar la opción Anular configuración de plantilla según el requisito.
  3. Guarde los cambios. La nube de Mist ahora crea nuevos túneles a la nube de Juniper Security Director.
Consulte la siguiente sección para confirmar que el tráfico se enruta según lo esperado a través del túnel que creó en los pasos anteriores. La nube de Mist debería enrutar el tráfico dirigido a Internet desde los radios a la nube de Juniper Security Director.

Verificar el túnel IPsec de Mist a Juniper Secure Edge (manual)

Siga estos pasos para confirmar que el tráfico se está enrutando desde la nube de Mist a Juniper Secure Edge (nube de Juniper Security Director) a través del túnel que creó a través del conector Secure Edge.

Después de completar todos los pasos descritos en Configurar Secure Edge Connector con Juniper Secure Edge (manual), es hora de verificar que la nube de Mist esté enrutando el tráfico dirigido a Internet desde los radios a Juniper Secure Edge (nube de Juniper Security Director), en lugar de enrutarlo a un centro para la interconexión central.
En este punto, ya configuró Secure Edge Connectors en el portal de Mist, lo que completa la configuración del túnel en el lado de la nube de Mist para establecer un túnel IPsec entre los dispositivos WAN Edge administrados por Mist y Security Director Cloud.
Los siguientes pasos le guiarán a través de cómo puede comprobar que el túnel funciona según lo esperado.

Verificar el túnel IPsec a través de la CLI

(Opcional) Según su entorno, puede ver la comunicación del túnel IPsec hacia la nube de Juniper Security Director en la interfaz de línea de comandos (CLI).

Verificar el túnel en el portal de Mist

Puede usar varias herramientas de monitoreo en el portal de Mist para verificar los detalles del túnel.

  1. Para verificar los detalles de la túnel establecida, seleccione WAN Edge >WAN Edge en el menú de la izquierda y, a continuación, haga clic en el dispositivo WAN Edge. Por último, haga clic en Información de borde de WAN. Observe que el evento Túnel ascendente de borde de WAN aparece en Eventos de borde de WAN.

  2. Para ver el estado del túnel y otros detalles, vaya a WAN Instancias de Edge> WAN Edges. Seleccione el dispositivo de WAN Edge y, a continuación, desplácese hacia abajo hasta la sección Detalles del conector de Secure Edge .

  3. Para ver las estadísticas del túnel, vaya a WAN Edges> WAN Edge > WAN nombre de Edge > WAN Edge Insights > Estadísticas de sondeo. Para ver un ejemplo de esto, consulte Estadísticas de túnel

También puede comprobar los túneles establecidos en el panel de control de Juniper Security Director Cloud y en Ubicaciones de servicio.

Comprobar el nuevo flujo de tráfico con un escritorio de VM

  1. Compruebe el nuevo flujo de tráfico mediante un escritorio de VM conectado al dispositivo de sucursal. Puede comprobar el flujo de tráfico mediante pings a Internet.
    Nota:

    Es posible que experimente latencia según la distancia física entre su dispositivo WAN Edge y la ubicación del servicio Juniper Secure Edge.
  2. Abra un explorador en un escritorio de VM y navegue hasta https://whatismyipaddress.com/ para ver detalles sobre la dirección IP de origen utilizada para enrutar la Juniper Mist el tráfico de red desde una ubicación de servicio hacia Internet.

    En este ejemplo, se muestra el tráfico desde una ubicación de servicio principal.

    En este ejemplo, se muestra el tráfico desde una ubicación de servicio secundaria.

    Una de las dos direcciones IP de la ubicación de servicio es una dirección IP pública y tiene dos propósitos:

    • Termina el túnel IPsec

    • Enruta el tráfico desde los dispositivos de sucursal a Internet a través de la nube de Juniper Security Director

    Puede ver esta misma dirección IP pública en las capturas de paquetes que muestran el túnel establecido a la ubicación de servicio mediante la nube de Juniper Security Director.

    Recuerde que una ubicación de servicio en la nube de Juniper Security Director también se conoce como POP y representa una instancia de Juniper® Secure Edge en una ubicación de nube. La ubicación del servicio es el punto de conexión (acceso) tanto para los usuarios locales como para los que están en roaming.